O serviço responsável pelo processamento de vistos do Reino Unido publicou um pedido de desculpas após um vazamento de dados, em que os endereços de e-mail de mais de 170 pessoas foram copiados por engano em um e-mail que circulou na semana passada.
A mensagem em questão foi enviada no dia 7 de abril e tinha como objetivo informar sobre a mudança de local de um agendamento para solicitação de visto com o UK Visa and Citizenship Application Service (UKVCAS).
O UKVCAS é um serviço fornecido pela empresa privada Sopra Steria ao Home Office (Departamento de Administração Interna do Reino Unido).
O vazamento de dados incluiu e-mails de contas privadas do Gmail, assim como outras contas corporativas de advogados de diferentes escritórios.
A retratação ocorreu no dia seguinte, quando o UKVCAS enviou um e-mail de desculpas no fim da tarde do dia 8 de abril. A mensagem mencionou uma “falha de vazamento de dados” e se desculpou por qualquer inconveniência causada.
Terceirização de serviços
Além do pedido de desculpas, o UKVCAS também informou em seu e-mail do dia 8 de abril que nenhum outro tipo de informação havia sido vazado além dos endereços de e-mail.
Conforme explica o comunicado, a correspondência eletrônica equivocada “incluiu os endereços de e-mail de outros clientes, o que não é nossa prática comum. A mensagem não incluiu qualquer outra informação pessoal”.
O UKVCAS ainda aproveitou o e-mail de retratação para afirmar que o serviço considera a proteção de dados um assunto extremamente sério e que já está reavaliando seus processos internos para evitar que erros como esse ocorram no futuro.
Já em relação ao e-mail envolvido no vazamento de dados, o UKVCAS afirma que a mensagem original foi cancelada e que uma versão corrigida já foi enviada.
Apesar das medidas adotadas pelo UKVCAS em resposta ao incidente, esta falha recente levantou novamente discussões sobre erros anteriores do Home Office e a terceirização dos serviços.
No caso da solicitação de vistos, por exemplo, o processo envolve a coleta de biometria, o que aumenta a pressão para que o Home Office garanta que os seus parceiros cumpram a lei de proteção de dados da região.
Agência reguladora
Uma das principais críticas em relação ao UKVCAS é que o serviço cobra um valor extremamente elevado para aquilo que oferece. Além de atrasos e erros, incidentes como perda ou vazamento de dados contribuem com a crescente insatisfação por parte dos clientes.
O evento da semana passada foi causado pelo UKVCAS, que é um serviço terceirizado, mas esta não é a primeira vez que o Home Office está envolvido em casos de vazamento de dados.
Há três anos, em abril de 2019, o departamento precisou se desculpar com centenas de cidadãos europeus após compartilhar por engano endereços de e-mail. No mesmo mês, outros 500 endereços de e-mail também foram enviados por engano para uma lista de contatos.
O Information Commissioner’s Office (ICO), agência reguladora do Reino Unido, afirmou que até o momento não recebeu nenhum comunicado sobre um vazamento de dados do Home Office. No entanto, o órgão reforça que nem todos os vazamentos precisam ser reportados.
Caso uma organização decida que não é preciso reportar um incidente ao ICO, ela deve manter os registros relacionados ao evento e, caso necessário, explicar o motivo de não informar a agência.
Por enquanto, o Home Office afirma que está analisando se o vazamento recente deve ser reportado ao ICO ou não.
